🚨 Kolejny exploit na kwotę 2,7 miliona dolarów. Tym razem ofiarą jest Solv Protocol. Błąd - podwójne mintowanie z powodu callbacku onERC721Received, który mintuje tokeny + standardowe mint(). Kontrakt jest zweryfikowany na Etherscan i przeszedł audyt. TX:

Jestem gotów pomóc każdemu, kto chce odnieść sukces w bezpieczeństwie web3. Jeśli czytasz większość opinii na X, "młodsi audytorzy" nie żyją, jeśli jeszcze nie udało ci się zostać audytorem, powinieneś się poddać. Rzeczywistość jest taka, że potrzebujemy dobrych SR-ów bardziej niż kiedykolwiek. Napisz do mnie, jeśli potrzebujesz pomocy🫡

Subtelna różnica między Uniswap V3 a V4, którą większość ludzi przeocza: - V3 używa osobnego kontraktu dla każdej puli. Każda pula przechowuje swoje własne tokeny. - V4 używa singletona. WSZYSTKIE pule dzielą jeden kontrakt przechowujący wszystkie tokeny. Co to oznacza dla bezpieczeństwa - luka w logice księgowej V4 nie opróżnia jednej puli. Opróżnia każdą pulę. Wzorzec singletona wymienia koszty wdrożenia na skoncentrowane ryzyko. Audytorzy przeglądający forki V4: zasięg jakiejkolwiek usterki to teraz cały DEX, a nie jedna para.